해킹/Mobile application Hacking (30) 썸네일형 리스트형 [Mobile App Hacking] 화면 강제실행에 의한 인증 단계 우회 취약점 보호되어 있는 글입니다. [Mobile App Hacking] 백그라운드 화면 보호 취약점 모바일에서 어플이 백그라운드로 들어갈 때 해당 실행 화면을 그대로 보여주는 것이 아니라 백그라운드 들어가기 직전의 화면을 snapshots로 남겨두고 그 snapshot을 백그라운드에서 출력해주는 방식이다 따라서 해당 스냅샷 화면에 중요정보가 노출되어 있다면 공격자로 하여금 이 스냅샷 사진 파일이 탈취당한다면 중요정보도 유출될 위험이 있다. 따라서 이 취약점 점검시 실행중이던 어플이 백그라운드 상태로 진입할 때 저장되는 스냅샷에 중요정보가 노출되는지, 백그라운드 상태로 진입할 때 적절한 화면 보호가 이루어지는지 함께 확인을 해야한다. Android Snapshot 위치 : /data/system_ce/0/snapshots 그런데 이 jpg 파일을 열어서 보려고 하면 권한이 없어 Permission den.. [ Mobile App Hacking ] 안드로이드 내부 / 외부 저장소 정리 보호되어 있는 글입니다. [ Mobile App Hacking ] Burp Suite로 TCP통신 패킷 잡기 - APP TCP MITM ATTACK 보호되어 있는 글입니다. [ Mobile App Hacking ] 단말기 내 중요정보 저장 여부 취약점 점검방법 보호되어 있는 글입니다. [ Mobile App Hacking ] Nox에서 apk 재설치 시 앱 중단 현상 해결법 - split.apk 보호되어 있는 글입니다. [ Mobile App Hacking ] 메모리 덤프 취약점 확인 보호되어 있는 글입니다. [ Mobile App Hacking ] 취약한 HSTS 암호화 프로토콜 이번에는 HSTS 프로토콜에 대해 보고 서버에서 취약한 HSTS 설정을 하면 어떤 화면이 뜨는지 보겠습니다. HSTS는 클라이언트의 브라우저에서 HTTPS 접속을 강제화하여 최초 접속 시부터 HTTPS 접속을 유도하는 기능입니다. 하지만 암호화 프로토콜 버전이 낮거나 취약한 프로토콜을 사용하고 있따면 SSL Strip의 위험이 있습니다. SSL Strip 이란? 일반적으로 잘 알려진 MITM (Man in the Middle) 공격을 보안하기 위함입니다. 일반적으로 TLS / SSL로 암호화 된 세션은 중간에서 공격자가 그 내용을 감청하더라도 암호화 되어 있기 때문에 데이터가 보호 될 수 있습니다. 그러나 강제로 SSL/TLS 암호화 세션을 암호화가 되지 않은 HTTP 세션으로 유도하게 된다면 암호화가 .. 이전 1 2 3 4 다음
